我正在处理一个表单,允许用户在要提交到数据库的字符串中使用非法/特殊字符。我想在字符串中转义/否定这些字符,并一直使用 htmlspecialchars() 。但是,是否有更好/更快的方法?
我正在处理一个表单,允许用户在要提交到数据库的字符串中使用非法/特殊字符。我想在字符串中转义/否定这些字符,并一直使用 htmlspecialchars() 。但是,是否有更好/更快的方法?
数据库没有“非法”字符。无法存储某些字符的数据库是无意义的。有一些服务字符,比如引号,用于分隔字符串。这些字符应该被转义而不是消除。
向数据库发送查询时,您有两个选项:
通常的方式构建查询,使其看起来与可以在 SQL 控制台中运行的 SQL 查询完全相同。
为此,人们应该理解 一整套规则,而不仅仅是“使用 mysql_real_escape_string”。
这些规则包括:
将查询和数据分开发送。
这是最优选的方法,因为它可以简化为只需“使用绑定”。所有字符串、数字和 LIMIT 参数都可以绑定-毫无担忧。
使用此方法,您的带有占位符的查询将原样发送到数据库,并且绑定数据将在单独的数据包中发送,因此不会干扰查询。这就像 代码 和 数据 分离一样。您将程序(查询本身)与数据分开发送。
上面所说的所有内容仅涵盖了查询的数据部分。
但有时我们必须使查询更加动态,添加运算符或标识符。
在这种情况下,每个动态参数都应在我们的脚本中被硬编码,并从该集合中选择。
例如,要进行动态排序:
$orders = array("name","price","qty"); //field names
$key = array_search($_GET['sort'],$orders)); // see if we have such a name
$orderby = $orders[$key]; //if not, first one will be set automatically. smart enuf :)
$query = "SELECT * FROM `table` ORDER BY $orderby"; //value is safe
或者动态搜索:
$w = array();
$where = '';
if (!empty($_GET['rooms'])) $w[]="rooms='".mesc($_GET['rooms'])."'";
if (!empty($_GET['space'])) $w[]="space='".mesc($_GET['space'])."'";
if (!empty($_GET['max_price'])) $w[]="price < '".mesc($_GET['max_price'])."'";
if (count($w)) $where="WHERE ".implode(' AND ',$w);
$query="select * from table $where";
在这个例子中,我们只向查询添加用户输入的数据,而不是字段名称,这些字段名称都是在脚本中硬编码的。对于绑定,算法也非常相似。如果您将此数据提交到数据库,请查看数据库的转义函数。
例如,对于MySQL,有mysql_real_escape_string。
这些转义函数可以处理可能存在恶意的任何字符,您仍然可以以相同的方式获取数据。
您也可以使用预处理语句来处理数据:
$dbPreparedStatement = $db->prepare('INSERT INTO table (htmlcontent) VALUES (?)');
$dbPreparedStatement->execute(array($yourHtmlData));
或者更加自我解释一些:
$dbPreparedStatement = $db->prepare('INSERT INTO table (htmlcontent) VALUES (:htmlcontent)');
$dbPreparedStatement->execute(array(':htmlcontent' => $yourHtmlData));
如果您想保存不同类型的数据,请使用 bindParam
来定义每种类型,例如可以通过以下方式定义整数:$db->bindParam(':userId', $userId, PDO::PARAM_INT);
。示例:
$dbPreparedStatement = $db->prepare('INSERT INTO table (postId, htmlcontent) VALUES (:postid, :htmlcontent)');
$dbPreparedStatement->bindParam(':postid', $userId, PDO::PARAM_INT);
$dbPreparedStatement->bindParam(':htmlcontent', $yourHtmlData, PDO::PARAM_STR);
$dbPreparedStatement->execute();
如果您没有使用PHP数据对象(PDO),可以在PHP Data Objects了解更多信息,其中$db
是您的PHP数据对象(PDO)。
mysql_real_escape_string
无法防止XSS,而htmlspecialchars
无法防止SQL注入。如果我还有任何投票机会,我会-1这个mysql_escape_string
函数: “自PHP 5.3.0版以来,此函数已被弃用。依赖此功能是不可取的。”并给提到参数化查询的人+1。 - Lotus Notesmysql_escape_string
已经过时多年了。请查看这个来自2004年的存档页面:http://web.archive.org/web/20041207044948/http://us2.php.net/mysql_escape_string - webbiedave首先,当展示内容时,应该对其进行清洗,而不是在插入数据库之前。SQL注入则是另一个话题,可能与本文无关。
其次,如果您的用户不需要发布HTML,那么只需使用htmlspecialchars
即可。它会处理HTML中的所有特殊字符。
这不是你想独自解决的问题。有一些库可以为您完成此操作,例如HTML Purifier。
您没有说明这些非法字符可能是什么,但您应该绝对使用数据库API提供的机制来转义数据。例如,如果您正在使用MySQL,请使用PDO参数化SQL语句。